Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zugriff für das SRT gewähren
Auf dieser Seite finden Sie Anweisungen, wie Sie der SRT die Erlaubnis erteilen, in Ihrem Namen zu handeln, sodass sie auf Ihre AWS WAF Protokolle zugreifen und Anrufe an die SRT tätigen AWS Shield Advanced und Schutzmaßnahmen AWS WAF APIs verwalten können.
Bei Ereignissen auf Anwendungsebene DDo S kann das SRT AWS WAF Anfragen überwachen, um anomalen Datenverkehr zu identifizieren und dabei zu helfen, benutzerdefinierte AWS WAF Regeln zu erstellen, um schädliche Datenverkehrsquellen zu verhindern.
Darüber hinaus können Sie dem SRT Zugriff auf andere Daten gewähren, die Sie in Amazon S3 S3-Buckets gespeichert haben, z. B. Paketerfassungen oder Protokolle von einem Application Load Balancer CloudFront, Amazon oder aus Quellen von Drittanbietern.
Anmerkung
Um die Dienste des Shield Response Teams (SRT) nutzen zu können, müssen Sie den Business Support Plan oder den Enterprise Support
Um die Berechtigungen für das SRT zu verwalten
-
Wählen Sie auf der Übersichtsseite der AWS Shield Konsole unter AWS SRT-Unterstützung konfigurieren die Option SRT-Zugriff bearbeiten aus. Die Zugriffsseite für das AWS Shield Response Team (SRT) bearbeiten wird geöffnet.
-
Wählen Sie für die Einstellung für den SRT-Zugriff eine der folgenden Optionen aus:
-
Gewähren Sie dem SRT keinen Zugriff auf mein Konto — Shield entfernt alle Berechtigungen, die Sie dem SRT zuvor für den Zugriff auf Ihr Konto und Ihre Ressourcen erteilt haben.
-
Eine neue Rolle für das SRT erstellen, um auf mein Konto zuzugreifen — Shield erstellt eine Rolle, die dem Service Principal
drt.shield.amazonaws.com, der das SRT darstellt, vertraut, und fügt ihm die verwaltete Richtlinie hinzu.AWSShieldDRTAccessPolicyDie verwaltete Richtlinie ermöglicht es dem SRT, in Ihrem Namen AWS WAF API-Aufrufe zu tätigen AWS Shield Advanced und auf Ihre Protokolle zuzugreifen. AWS WAF Für weitere Informationen über die verwaltete Richtlinie siehe AWS verwaltete Richtlinie: AWSShield DRTAccess Richtlinie. -
Wählen Sie eine bestehende Rolle für das SRT aus, um auf meine Konten zuzugreifen. Für diese Option müssen Sie die Konfiguration der Rolle in AWS Identity and Access Management (IAM) wie folgt ändern:
-
Hängen Sie die verwaltete Richtlinie
AWSShieldDRTAccessPolicyan die Rolle an. Diese verwaltete Richtlinie ermöglicht es dem SRT, in Ihrem Namen AWS WAF API-Aufrufe zu tätigen AWS Shield Advanced und auf Ihre Protokolle zuzugreifen. AWS WAF Für weitere Informationen über die verwaltete Richtlinie siehe AWS verwaltete Richtlinie: AWSShield DRTAccess Richtlinie. Informationen zum Anhängen der verwalteten Richtlinie an Ihre Rolle finden Sie unter IAM-Richtlinien anhängen und trennen. -
Ändern Sie die Rolle, um dem Service-Prinzipal
drt---shield.amazonaws.com.rproxy.govskope.cazu vertrauen. Dies ist der Dienstprinzipal, der die SRT repräsentiert. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Prinzipal.
-
-
-
Für (optional): Gewähren Sie SRT-Zugriff auf einen Amazon S3-Bucket. Wenn Sie Daten teilen müssen, die nicht in Ihren AWS WAF Web-ACL-Protokollen enthalten sind, konfigurieren Sie dies. Zum Beispiel Application Load Balancer Balancer-Zugriffsprotokolle, CloudFront Amazon-Protokolle oder Protokolle aus Quellen von Drittanbietern.
Anmerkung
Sie müssen dies nicht für Ihre AWS WAF Web-ACL-Protokolle tun. Das SRT erhält Zugriff auf diese, wenn Sie Zugriff auf Ihr Konto gewähren.
-
Konfigurieren Sie die Amazon S3 S3-Buckets gemäß den folgenden Richtlinien:
-
Die Bucket-Standorte müssen sich in dem befinden AWS-Konto , auf den Sie dem SRT im vorherigen Schritt Zugriff auf das AWS Shield Response Team (SRT) gewährt haben.
-
Die Buckets können entweder Klartext- oder SSE-S3-verschlüsselt sein. Weitere Informationen zur Amazon S3 SSE-S3-Verschlüsselung finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit Amazon S3-Managed Encryption Keys (SSE-S3) im Amazon S3 S3-Benutzerhandbuch.
Das SRT kann keine Protokolle anzeigen oder verarbeiten, die in Buckets gespeichert sind, die mit Schlüsseln verschlüsselt sind, die in () gespeichert sind. AWS Key Management Service AWS KMS
-
-
Geben Sie im Abschnitt Shield Advanced (optional): SRT-Zugriff auf einen Amazon S3-Bucket für jeden Amazon S3-Bucket, in dem Ihre Daten oder Logs gespeichert sind, den Namen des Buckets ein und wählen Sie Bucket hinzufügen. Sie können bis zu 10 Buckets hinzufügen.
Dadurch erhält das SRT die folgenden Berechtigungen für jeden Bucket:
s3:GetBucketLocation,s3:GetObject, und.s3:ListBucketWenn Sie dem SRT die Erlaubnis geben möchten, auf mehr als 10 Buckets zuzugreifen, können Sie dies tun, indem Sie die zusätzlichen Bucket-Richtlinien bearbeiten und die hier aufgeführten Berechtigungen für das SRT manuell gewähren.
Im Folgenden finden Sie ein Beispiel für eine Richtlinienliste.
{ "Sid": "AWSDDoSResponseTeamAccessS3Bucket", "Effect": "Allow", "Principal": { "Service": "drt.shield.amazonaws.com" }, "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] }
-
-
Wählen Sie Speichern, um Ihre Änderungen zu speichern.
